仮想センサーについて
センサーは 1 つまたは多数のモニタ対象データ ストリームからのデータ入力を受信できます。これらのモニタ対象データ ストリームは、物理インターフェイス ポートまたは仮想インターフェイス ポートのどちらでも構いません。たとえば、単一のセンサーでファイアウォールの前からのトラフィック、ファイアウォールの後ろからのトラフィック、またはファイアウォールの前後からのトラフィックを同時にモニタできます。単一のセンサーで 1 つ以上のデータ ストリームをモニタできます。この場合、単一のセンサー ポリシーまたは設定がすべてのモニタ対象データストリームに適用されます。
仮想センサーでは、特定のトラフィック フィードに適用するための、別々のポリシーを作成できます。たとえば、データセンターのポリシーを作成し、キャンパス ネットワークに別のまったく異なるポリシーを作成して、両方のポリシーを同じハードウェア デバイスで実行する場合は、別々の仮想センサーを設定してこれらのポリシーを実装できます。
仮想センサーに対して次のポリシーおよび設定を別々に設定します。
-
シグニチャおよびシグニチャ設定([IPS] のポリシー > [Signatures] フォルダ)
-
イベント アクション ポリシー([IPS] のポリシー > [Event Actions] フォルダ)
-
異常検出ポリシー([IPS] > [Anomaly Detection] ポリシー)および異常検出モード([Virtual Sensors] ポリシー)
-
仮想センサーでモニタする無差別インターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、インライン VLAN グループ、または無差別 VLAN グループ
(注) |
パケットが複数の仮想センサーで処理されることはありません。つまり、同じ物理または論理インターフェイスを複数のセンサーに割り当てることはできません。どの仮想センサーにも割り当てられていないインターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループからのパケットは、[インターフェイス(Interfaces)] ポリシーで定義したインラインバイパス設定に従って破棄されます。 |
-
インライン TCP セッション トラッキングおよびノーマライザ モード([Virtual Sensors] ポリシー)
(注) |
シグネチャ、イベントアクション、または異常検出のために IPS デバイスでポリシーインスタンスを作成し、そのデバイスのどの仮想センサーにも割り当てない場合(つまり、そのポリシーインスタンスを使用しない場合)、そのポリシーインスタンスは展開中に Cisco Security Manager によって削除されます。 |
他のポリシーおよび設定はすべて、仮想センサーをホストする親デバイス上で設定します。たとえば、グローバル相関を使用する場合、親デバイスでグローバル相関を設定して、仮想センサーでその設定を共有します。
1 台のアプライアンスに最大 4 つの仮想センサーを設定できますが、ユーザ定義の仮想センサーは 3 つしか追加できません。最初の仮想センサーである vs0 は基本センサーであり、これは削除できません。Security Manager では、仮想センサーは次のように表示されます。
-
デバイス ビューのデバイス セレクタには親デバイスが含まれており、これが基本仮想センサー vs0 を兼ねています。このデバイスを選択してすべてのデバイスレベル ポリシーを設定し、[Virtual Sensors] ポリシーで仮想センサーを作成します。
-
ユーザ定義の仮想センサーもまた、デバイス ビューのデバイス セレクタに表示されます。リアル デバイスの表示名が、仮想センサー名の先頭に追加されます。その結果、通常は仮想センサーが存在する親(リアル)デバイスの横に仮想センサーが表示されます。たとえば、「bob」という名前のホスト(リアルデバイス)では、「vs1」という名前の仮想センサーは「bob_vs1」としてデバイスリストに表示されます。
仮想センサーのシグニチャ、異常検出、およびイベント アクション ポリシーを設定するには、デバイス セレクタでその仮想センサーを選択する必要があります。親デバイスを選択してもこれらのポリシーは設定できません。親デバイスのポリシーは、vs0 基本センサー用です。
ここでは、仮想センサーについて詳しく説明します。
仮想化の利点および制約事項
仮想センサーを使用することの利点は、1 台のアプライアンスで複数の仮想センサーを操作する一方で、シグニチャの動作およびトラフィック フィードに関して個々の仮想センサーをそれぞれ異なるように設定できることです。たとえば、データセンターのポリシーを作成し、キャンパス ネットワークに別のまったく異なるポリシーを作成して、両方のポリシーを同じハードウェア デバイスで実行する場合は、別々の仮想センサーを設定してこれらのポリシーを実装できます。
仮想化には次の利点があります。
-
個々のトラフィック セットにそれぞれ異なる設定を適用できます。
-
IP スペースが重複している 2 つのネットワークを 1 つのセンサーでモニタできます。
-
ファイアウォールまたは NAT デバイスの内側と外側の両方をモニタできます。
仮想化には次の制約事項があります。
-
非対称トラフィックの両側を同じ仮想センサーに割り当てる必要があります。
-
VACL キャプチャまたは SPAN(無差別モニタリング)の使用は、VLAN タギングに関して矛盾しており、これによって VLAN グループの問題が発生します。
-
Cisco IOS ソフトウェアを使用している場合、VACL キャプチャ ポートまたは SPAN ターゲットは、トランキング用に設定されていても、常にタグ付きパケットを受信するわけではありません。
-
MSFC を使用している場合、学習したルートの高速パス スイッチングによって、VACL キャプチャおよび SPAN の動作が変わります。
-
-
固定ストアが制限されます。
-
すべての IPS センサーで複数の仮想センサーがサポートされているわけではありません。[Virtual Sensors] ポリシーはすべての IPS アプライアンスおよびサービス モジュールで表示されますが、これは、インターフェイスを基本の vs0 センサーに割り当てるために、このポリシーを使用する必要があるためです。ポリシーの [Add] ボタンがデバイスに対してディセーブルであり、ユーザ定義の仮想センサーを設定していない場合、そのデバイスでは仮想化がサポートされません。仮想化がサポートされていないデバイスの例として、Cisco IPS 4215、NM-CIDS、AIM-IPS、NME-IPS、および AIP-SSC を挙げることができます。IDSM2 では仮想化はサポートされていますが、VLAN グループとインライン インターフェイス ペアはサポートされません。
-
IPS 6.0+ ソフトウェアを使用する必要があります。古いソフトウェア バージョンでは仮想化がサポートされていません。
-
Cisco IOS IPS デバイスでは仮想化がサポートされていません。[IPS] > [インターフェイスルール(Interface Rules)] ポリシーを使用して、IPS でモニターする必要があるインターフェイスを指定します。
仮想化には次のトラフィック キャプチャ要件があります。
-
仮想センサーで 802.1q ヘッダーを含むトラフィックを受信する必要があります(キャプチャ ポートのネイティブ VLAN 上のトラフィック以外)。
-
センサーで、指定したセンサーの同じ仮想センサーに含まれる同じ VLAN グループの両方向のトラフィックをモニタする必要があります。
関連項目
インライン TCP セッション トラッキング モード
インラインでのパケット変更を選択している場合、ノーマライザ エンジンでは、ストリームからのパケットを 2 回認識すると、ストリームの状態を適切に追跡できません。このような場合は、ストリームが頻繁にドロップされます。この状況は、ストリームが、IPS によってモニタされている複数の VLAN またはインターフェイスを介してルーティングされている場合に、最もよく発生します。また、いずれかの方向のトラフィックがそれぞれ異なる VLAN またはインターフェイスから受信された場合に、ストリームを適切に追跡するために非対称トラフィックをマージできるようにする必要があり、これにより、状況がより複雑化します。
この状況を処理するために、ストリームが別々のインターフェイスまたは VLAN(または VLAN ペアのサブインターフェイス)で受信された場合には、これらを一意のストリームとして認識するように、モードを設定できます。
次のインライン TCP セッション トラッキング モードが適用されます。
-
[インターフェイスおよびVLAN(Interface and VLAN)]:同じ VLAN(またはインライン VLAN ペア)内および同じインターフェイス上で同じセッションキー(AaBb)を持つすべてのパケットは、同じセッションに属します。同じキーを持ち、VLAN が異なるパケットは、別々に追跡されます。
-
[VLANのみ(VLAN Only)]:同じ VLAN(またはインライン VLAN ペア)内で同じセッションキー(AaBb)を持つすべてのパケットは、インターフェイスにかかわらず同じセッションに属します。同じキーを持ち、VLAN が異なるパケットは、別々に追跡されます。
-
[仮想センサー(Virtual Sensor)]:仮想センサー内で同じセッションキー(AaBb)を持つすべてのパケットは、同じセッションに属します。これがデフォルトであり、ほとんどの場合、最良のオプションです。
仮想センサーの定義で示すように、インライン TCP セッション トラッキング モードは、仮想センサーのプロパティとして設定します。
ノーマライザ モードについて
ノーマライザ モードは、センサーがインライン モードで動作している場合にだけ適用されます。デフォルトは [Strict Evasion Protection] であり、これは、TCP ステートとシーケンスのトラッキングが完全に強制されることを意味します。ノーマライザによって、重複パケット、変更されたパケット、順序が正しくないパケットなどの検査が強制されます。このことは、攻撃者が IPS を回避することを阻止するのに役立ちます。
非対称モードでは、ノーマライザのチェックの大部分がディセーブルになります。非対称モードはストリーム全体を検査できない場合にだけ使用してください。この状況では、攻撃者が IPS を回避できるためです。
仮想センサーの定義で示すように、ノーマライザ モードは、仮想センサーのプロパティとして設定します。
仮想センサーへのインターフェイスの割り当て
IPS センサーは、仮想センサーに割り当てられたインターフェイス、インターフェイス ペア、または VLAN ペアを通過するトラフィックをモニタします。
次のタイプの 1 つ以上のインターフェイスを仮想センサーに割り当てることができます。
-
無差別インターフェイス:VLAN グループがなく、インライン インターフェイス ペアに含まれない物理インターフェイス。
-
インライン インターフェイス ペア:2 つの物理インターフェイスからなる論理インターフェイス。
-
インライン VLAN ペア:2 つの VLAN からなる論理インターフェイス。
-
無差別 VLAN グループ:物理インターフェイス上のサブインターフェイスに割り当てられている VLAN グループ。
物理インターフェイスは、インライン インターフェイスまたは VLAN ペアにはまだ使用できません。同じ無差別インターフェイスに多数の無差別 VLAN グループを設定できますが、VLAN を重複して割り当てることはできません。VLAN グループを無差別インターフェイスに割り当てると、このインターフェイスは単なる無差別インターフェイスではなくなり、無差別 VLAN グループにだけ使用できるようになります。
-
インライン VLAN グループ:インライン インターフェイス ペアのサブインターフェイスに割り当てられている VLAN グループ。
同じインライン インターフェイス ペアに多数のインライン VLAN グループを設定できますが、VLAN を重複して割り当てることはできません。VLAN グループをインライン インターフェイス ペアに割り当てると、このインターフェイス ペアは単なるインライン インターフェイス ペアではなくなり、インライン VLAN グループにだけ使用できるようになります。
VLAN グループをインライン VLAN ペアに割り当てることはできません。
インターフェイスを仮想センサーに割り当てる前に、これらを設定する必要があります。これらすべてのタイプのインターフェイスの設定については、インターフェイスの設定を参照してください。インターフェイスを仮想センサーに割り当てる方法の詳細については、仮想センサーの定義を参照してください。
デバイスに対する仮想センサーの識別
IPS アプライアンスまたはサービス モジュールでユーザ定義の仮想センサーを設定すると、その仮想センサーはデバイス ビューのデバイス セレクタに表示されます。
通常、仮想センサーの表示名は、device-name_virtual-sensor-name の形式になります。ここで、device-name は親デバイスの名前、virtual-sensor-name は仮想センサーの名前です。たとえば、デバイス 10.100.10.10 上の仮想センサー vs1 は 10.100.10.10_vs1 になります。
このため、通常、デバイス セレクタ内で、デバイスの仮想センサーは親デバイスのすぐあとに表示されます。ただし、仮想センサーの表示名は、デバイスのプロパティを編集して変更できます。デフォルト名を変更した場合、デバイス セレクタ内で、仮想センサーが親デバイスの近くに表示されなくなる可能性があります。
次の方法を使用すると、デバイスに定義されている仮想センサーを識別したり、仮想センサーの親デバイスを識別したりできます。
-
IPS デバイスに定義されている仮想センサーのリストを表示するには、そのデバイスの [仮想センサー(Virtual Sensors)] ポリシーを選択します。テーブルに、基本の vs0 センサーを含むすべての仮想センサーが表示されます。vs0 センサーはデバイス セレクタに単独では表示されないことに注意してください。このセンサーは親デバイス自体によって示されます。
仮想センサーの表示名を根本的に変更しないかぎり、仮想センサー名と親デバイスの表示名は、デバイスセレクタ内で仮想センサーを見つけるのに役立ちます。
-
仮想センサーのホストである IPS デバイスを判断するには、デバイスセレクタで仮想センサーを右クリックして [デバイスのプロパティ(Device Properties)] を選択します。[General] タブにある表示専用の [Hostname] フィールドに、ホスト デバイスの表示名と、デバイスに定義されている仮想センサー名が表示されます。